セキュリティ情報 / 2008 / セキュリティ情報 -- DSA-1605-1 glibc

Debian セキュリティ勧告

DSA-1605-1 glibc -- DNS キャッシュポイゾニング攻撃

報告日時:

2008-07-08

影響を受けるパッケージ:

glibc

危険性:

あり

参考セキュリティデータベース:

Mitre の CVE 辞書: CVE-2008-1447.
CERT の脆弱性リスト、勧告および付加情報: VU#800113.

詳細:

Dan Kaminsky さんにより、DNS プロトコルに内在する特性に欠陥があり、DNS 詐称攻撃やキャッシュポイゾニング攻撃が現実の脅威となることが発見されま した。攻撃が成功した場合、典型的にはウェブ通信や電子メールを他のサイト に不正転送することが可能で、それ以外の攻撃手法もありえます。

現時点では、GNU libc のスタブリゾルバに推奨される対抗策を実装することは 困難です。以下の回避策は可能です。

1. ローカルの BIND 9 リゾルバをホストにインストールして、フォワードのみ の設定で用いることです。BIND 9 はこの設定かでネットワーク越しにクエリを 送る場合、クエリソースポートのランダム化を実施します。これ以外のキャッシ ュ機能を持つリゾルバの利用も可能です。

2. IP アドレススプーフ防止手段があるなら、それを利用します。攻撃のために はリゾルバのどれかのアドレスを詐称する必要があり、IP 詐称からネットワー クが適切に防御 (外部及び内部からの) されているならばこのような攻撃は不可 能だからです。

スタブリゾルバのセキュリティ強化のパッチが提供され次第、この DSA を更新 します。